周三下午三点,一家金融机构的财务分析师收到一封邮件通知,说有一份机密项目文档已上传至Adobe Document Cloud等待查阅。他点开链接,跳转到一个看起来完全正常的Adobe页面,显示“下载完成”的动画。
这个动作发生的同时,他的工作电脑已经静默完成了ScreenConnect远程控制工具的安装——没有弹窗、没有报错、没有任何界面提示。攻击者拿到了整台机器的完整控制权,而他全程只觉得自己成功查阅了一份云文档。
Fortra旗下威胁情报团队FIRE将这次攻击行动命名为“RatPressto”,并在与Cyber Security News分享的报告中披露了整套攻击链路的运作细节。这个钓鱼套件做得极为精良,且具备高度可复用性——研究员发现多个被攻破的网站托管着几乎逐字节一致的钓鱼页面,唯一的变化是每次攻击中替换了受害者专属的文件名。
整套操作暴露出一个问题:当攻击者选择混入正常的企业软件流量,标准安全工具的报警机制几乎完全失效。
要点一:钓鱼邮件的伪装层次超过常规金融诈骗
攻击链条的起点是一封精心设计的Adobe Document Cloud文件共享通知邮件。收件人被准确告知“某份机密项目文档”已上传至云端,附带的链接指向一个需要立即查看的文件。
从邮件模板到措辞风格,这封通知与Adobe官方发出的自动提醒高度一致。金融行业从业者日常处理大量文件流转,这类协作通知属于高频场景,点开链接几乎是肌肉记忆。
攻击者没有选择广撒网式群发,而是针对金融组织定向投放。FIRE团队的分析报告中用“结构精密、欺骗性强、难以检测”来描述整体行动的设计水准。
要点二:仿冒页面的设计思路是“争取时间”而非“直接欺骗”
当受害者点击邮件中的链接,并不会立刻触发恶意下载。他们首先被导向一个被攻破的WordPress网站,页面上展示的是一个视觉还原度极高的仿冒Adobe界面。
这个页面上有Adobe品牌标识、加载动画,以及一行“下载完成”的状态提示——但它唯一的功能就是让受害者停留几秒钟。FIRE团队将这一设计逻辑称为“买时间”:在用户注意力被前台动画锁定的窗口期内,后台执行真正的恶意动作。
这种两阶段攻击结构是RatPressto套件的核心特征。前台负责营造信任感并拖延用户操作,后台一个隐藏的内嵌框架(iframe)已经静默触发ScreenConnect安装程序的下载。当页面提示受害者“打开文件以查看文档”时,恶意文件早就完成了下载,用户做的只是执行已经被投递到本地的安装包。
要点三:ScreenConnect被用作现成的远程控制后门
这套攻击链路中最关键的选择,不是开发定制化木马,而是直接调用ScreenConnect这款合法的远程管理工具。
ScreenConnect在企业IT运维中广泛使用,其通信流量在网络监测视角下属于正常的远程协助行为。攻击者将恶意活动混入这类“白工具”流量中,大幅降低了被安全软件标记为异常的概率。安装过程没有可见界面,完成后受感染机器自动回连到攻击者自建的命令控制服务器——域名cloud.zistopstoabetterlife.com,使用端口8041建立持久通道。
Fortra的研究员指出,这种“滥用合法软件”的手法体现出攻击方对安全防御机制的深刻理解。他们不寻求绕过检测,而是让自己根本不在检测范围内。
要点四:攻击基础设施高度集中化,指向单一组织化团队
尽管钓鱼页面散布在多个被攻破的WordPress网站上,但页面代码结构几乎逐字节一致。每次攻击更替的仅是受害者定制文件名,其余部分原封不动。
这种一致性强烈暗示一个集中管理的私有钓鱼套件在背后的运作。攻击者通过GitHub仓库(账户名“creativebobo”)投递额外载荷,并使用经过重度混淆处理的批处理脚本完成后续部署。整套设施的可复用性和操作纪律,让FIRE团队将其评估为“表现出持续性的操作成熟度”。
溯源分析结果将攻击来源指向巴西,评估可信度为中等。关联依据是与圣保罗地区相关的基础设施标记。威胁行为者的具体身份尚未披露。
要点五:这个攻击模式对金融行业意味着什么
RatPressto不是一次性的事件,而是一套可重复部署的攻击框架。袭击目标集中在金融组织,利用的是企业日常协作流程中普遍存在的信任惯性——员工对云服务通知的本能点击、对合法管理工具的流量默许、对品牌界面的视觉信任。
在Fortra的报告中,这个套件被描述为“私有维护、专注最大化受害者信任同时最小化安全检测”。这句话几乎可以当作此次攻击的设计原则来读。
当一个远程控制工具可以无声安装、用正常的管理通道回连、全程不触发任何异常告警时,传统的边界防御逻辑需要重新审视的,不只是威胁检测规则,还有对“合法软件行为”本身的界定标准。
云文档钓鱼页面还在运转,ScreenConnect依然被广泛部署在企业网络中。攻击者选择了一条成本最低且最难被标记的路径——而这条路径恰好穿过金融机构日常运营中最常规的几道门。
热门跟贴